Цифровая тень: что скрывают под капотом популярные Android-приложения (результаты аудита)

[0ka]

А что на счёт yango maps?

[NanoVHF]

Постою рядом за ответом

[Pavlitko]

не слышал раньше про эти карты. ради интереса поставил )

[AlexanderS]

И что там?

[Pavlitko]

Особой разницы с Яндекс картами не обнаружил. Так и не понял прикола...

[0ka]

Ну вроде обращений на yandex.ru не делает, а делает на yandex.net

[Vabkab]

С каждым днём она стирается, когда то там даже не было рекламы. потому что оно позиционировались не для рынка РФ. При переходе - земля и небо по сравнению с Яндексом. Сейчас чуть меньше рекламы

[vjmka]

А Сбер\Госуслуги? Понимаю что ответ понятен, но детальный анализ не помешал бы

[nadge]

Было бы интересно узнать как в iOS... Не думаю, что там что-то удивительное, однако

[YuriyPashkov]

Примерно тоже самое и будет: бесконечные трекеры, VPN-детекция, слежка всякая во время работы. При этом список других приложений не получат, к буферу обмена без вашего разрешения доступ не получат, в незапущенном состоянии ничего не соберут (хотя тут могут быть оговорки насчет сайлент-пушей и какого-то функционала небольшого с ними). Кстати, в iOS есть механизм App Groups, и у приложений из одной группы есть фактически свой собственный канал для обмена данными, так что приложения условного Яндекса могут спокойно его использовать для дополнительного сбора и отправки даных каких-то.
Рекомендации те же, что и для Android: не давайте лишних разрешений приложениям, не запускайте их с работающим VPN, DNS-фильтрация, где это возможно. Шелтер в iOS не завезли, увы.

[Lucky715]

К сожалению Шелтер тоже обходится, частично и с рядом оговорок конечно

[FFLY]

А как их не запускать с работающим VPN, если они постоянно в фоне крутятся? Музыка играет, карты/навигатор ведут по маршруту. Более того, телефон их сам включает при заходе в CarPlay

PS было бы интересно посмотреть что там у конкурентов типа ДваГИС

[mittorn]

2гис вреден хотя бы тем, что на всех устройствах, куда он устанавливается начинает томрозить, а потом выходит из строя память

[MAXH0]

Отдельный телефон под эти приложения...

[NanoVHF]

На все приложения телефонов не напасёшься. Раньше у меня была концепция, если махаон нельзя избежать, то пусть он будет на обсолютно пустом изолированном телефоне. Теперь концепция меняется, на отдельный телефон переезжает всё отечественное и работает без ВПН. Пусть себе в пустой колбук стучится наздоровье. А отдельный телефон, как обычный телефон с ВПН, туиттерами, телегой и проч запрещёнкой. А, вот, что с махаоном теперь делать - ХЗ.

[MAXH0]

А чем он мешает в ряду отечественных?

[dsrk_dev]

Фоновая геолокация: ACCESS_BACKGROUND_LOCATION + ACTIVITY_RECOGNITION + 173 ссылки на geofence. Карты знают, где вы находитесь, даже когда свёрнуты.

Вам самим то не смешно такое писать?

Но вот что по-настоящему удивило: разрешение READ_CALL_LOG. Платёжное приложение хочет знать, кому вы звонили. Рядом — QUERY_ALL_PACKAGES: сканирует все установленные приложения на устройстве. Вместе это складывается в неплохой инструмент для профилирования.

Или в инструмент для определения что вы сейчас общаетесь с мошенником

Ещё — разрешение WRITE_CONTACTS. Телемост может записывать в адресную книгу, а не только читать.

Приложение для звонков просовывает контакты в телефонную книгу, ужас какой!

Я перепроверил. Класс на месте, ссылки в коде есть, связка с аудиоподсистемой прослеживается. Это три критические уязвимости из трёх — все связаны с аудио.

А вы проверили какие конкретные фразы распознаются, скорее всего это фразы указывающие на плохую свзять, а не на то что вы что-то запрещенные говорите. Для второго есть СОРМ

CallAnalyticsSender отправляет телеметрию звонков через api.ok.ru. Да, сервер Одноклассников получает данные о ваших звонках в МАКСе.

Удивительно, продукт разрабатываеммый командой ок передаёт данные ок. Спойлер там ещё и домены ок используются для api

[peschex0d]

А вас не смущает, в контексте уже 8 лет действия закона Ирины Яровой, количество, с одной стороны, терактов и прочего треша, исполняемого мимо СОРМ, а с другой - появление почти обязательного мессенджера, который проталкивают даже через запись к врачу и продажу алкашки, с таким чудесным и невинным инструментом цензуры внутри, как анализ голосового трафика?

[dsrk_dev]

Меня смущают беспочвенные и безграмотные набросы уровня "jar вирус". С максом конечно нужно бороться и нужно расказывать чем он на самом деле опасен(отсутсвие шифрования, сорм и вот это всё)

[sergey2ru]

Интересно есть ли что-то такое в 2Гис. Когда забываю его отключить, можно это заметить по ощутимому нагреву телефона. А он всего лишь в фоне работает.

[Aliandwa]

Приложение размером в 1 ГБ имеет право это делать.

[mittorn]

он молча что-то делает с памятью, из-за чего после года-двух такого использования телефон можно на помойку отправлять

[Kenya-West]

мессенджер МАКС (бывший ICQ New / VK Messenger)

У вас нейронка галлюционирует. МАКС технически не является ни предшественником, ни заменой ICQ, ни VK. Он построен на кодовой базе Там-Там, но идентификатор пакета у него свой.

[tarielx]

Но вроде как ICQ New был на той же кодовой базе, что и Там-Там.

[Tomasina]

Технически одно приложение может "перехватить" данные другого приложения? Ранее ктото писал что Макс видит переписки в других приложениях.

[dsrk_dev]

Нет конечно, в мобильных ОС все приложения живут в песочницах, приложение никак не может выбраться из песочница

[AlexanderS]

А как же быть с атакой через localhost?

[dsrk_dev]

Одно приложеные выставило api, другое с ним взаимодействует. Если бы первое не выставило api, то второе бы им не воспользовалось

[AlexanderS]

Если бы да кабы, а по факту почти все браузеры были подвержены утечке истории даже в приватном режиме. И условному Максу технически ничто не запрещает делать это, наплевав на вашу песочницу. Так что однозначное высказывание "нет, конечно" я бы всё же скорректировал)

[dsrk_dev]

Удивительно! Если из песочницы вытащить лапку то за неё кто-нибудь сможет пожамкать!
Мой поинт был в том что макс не может украсть данных из телеграма, потому что телеграм ничего не высовывает из песочницы

[khimick]

конечно может, если это клавиатура.

[kenomimi]

Ватсапп и прочие поделки меты проверьте. Тоже много чудных открытий ждет вас...

А так давно уже есть сборки андроида типа e/OS, которые спуфят большинство известных методов идентификации, искажают неолокацию, запрещают детекцию впн (не наши это первые начали делать, потому уже давно функционал есть), блокируют трекеры и метрики, и так далее. Причем на те же пиксели встает даже с сохранением safetynet и прочих проверок целостности.

[MAXH0]

Сэр Майор дальше товарища Майора и мы, чаще всего, находимся не в его юрисдикции. Хотя явную дичь творить все же не стоит. А то поездка в Паттайю может быть отягощена сюрпризом.

[Konstantin_Burov]

Спасибо за публикацию! Было интересно читать

[turlir]

Интересно посмотреть в этом разрезе на Авито 👀

[Hlad]

Фоновая геолокация: ACCESS_BACKGROUND_LOCATION + ACTIVITY_RECOGNITION + 173 ссылки на geofence. Карты знают, где вы находитесь, даже когда свёрнуты.

Вы хоть раз пользовались картами на самом деле? Естественно они знают, где вы находитесь, когда свёрнуты - это им нужно, чтобы вовремя выдавать подсказки "через 500 метров поверните направо"

[Pavel7]

это им нужно, чтобы вовремя выдавать подсказки "через 500 метров поверните направо"

Не только это. Например, навигация в android auto в приложении не будет работать без ACCESS_BACKGROUND_LOCATION 

[vShadow]

Платёжное приложение хочет знать, кому вы звонили.

Это вы еще приложение ПСБ не видели :-)

[andy_light]

Карты знают, где вы находитесь, даже когда свёрнуты

При открытых ЯК (равно как и в других случаях запросов на местоположение) в статус-баре появляется значок геолокации. Когда выхожу из ЯК, значок пропадает, а значит, местоположение не отслеживается. Верно я понимаю, что каким-то образом ЯК обходят политику Андроида (у меня 16-й сейчас) и всё равно следят за моим местоположением, даже будучи свернутыми/закрытыми?

[GeorgeTudosi]

Справедливости ради, картам может быть нужен фоновый доступ к геопозиции в том числе для легитимных целей. Сценарий: ведение по маршруту с голосовыми подсказками, приложение свернуто или телефон заблокирован.

С такси примерно такая же история: вызвал машину, сунул телефон в карман и идёшь, а таксист тебя видит. Особенно удобно в аэропорту с баулами.

Доступ к микрофону — голосовой ввод адреса или поиск, но тут, конечно, только при использовании приложения. Для навигации в машине очень полезно.

Что, конечно, не отменяет результатов исследования, но напоминает о необходимости раздавать разрешения с использованием головного мозга.

[vvbob]

раздавать разрешения с использованием головного мозга

Тут вопрос доверия. Это как приглашать в свой дом чужого человека, ты оказываешь ему доверие, но он вполне может этим доверием злоупотребить, залезть например в твой сейф и утащить из него деньги, или сфотографировать твои документы, что-бы оформить на них кредит.

И как тут одним "головным мозгом" обойтись, хрен его знает, то что тебя кинул кто-то кому ты доверял, не говорит о том что ты дурак, это говорит о том что ты слишком хорошо о ком-то думал.

А сейчас доверять, походу, нельзя вообще никому, все в той или иной степени шпионят за пользователями, все продают собранную информацию.. ну или почти все. Не станешь устанавливать мессенджер Х, потому что он шпион, установишь мессенджер Y.. но он по факту такой-же самый шпион, просто следит за тобой в пользу другой корпорации или государства.

Остается либо смириться, либо жить вне цивилизации, не пользуясь ни чем высокотехнологичным, хотя и это уже слабо спасает в условиях нынешних городов увешанных камерами информация с которых может обрабатываться и анализироваться ИИ.

[Shark45]

А можно быстро управлять правами приложений, например выключить геолокацию во всех приложениях одной кнопкой?

[peschex0d]

Как минимум, сяоми редми ноут на шторке, наряду с выключением вайфая и передачи данных, имеет и кнопку GPS

[seregina_alya]

Выключить саму геолокацию

[vvbob]

Все идет к тому, что нужно иметь два телефона, один "грязный" со всем этим шпионским ПО, другой "чистый" для избранного ПО, но и то есть сильно ненулевая вероятность подцепить шпиона и на чистый телефон.

[iBuilder]

так давно рекомендуют хотя-бы использовать встроенную в Андроид возможность: ставить такие такие проги "в виртуальные телефон", в некоторых эта функция из коробки работает, как в Самсунг, в других нужно для удобства утилиту поставить с которой это удобнее делать.